CN110933028B - 报文传输方法、装置、网络设备及存储介质 - Google Patents

报文传输方法、装置、网络设备及存储介质 Download PDF

Info

Publication number
CN110933028B
CN110933028B CN201911016290.8A CN201911016290A CN110933028B CN 110933028 B CN110933028 B CN 110933028B CN 201911016290 A CN201911016290 A CN 201911016290A CN 110933028 B CN110933028 B CN 110933028B
Authority
CN
China
Prior art keywords
message
application program
application
fingerprint
decrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911016290.8A
Other languages
English (en)
Other versions
CN110933028A (zh
Inventor
吴君轶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201911016290.8A priority Critical patent/CN110933028B/zh
Publication of CN110933028A publication Critical patent/CN110933028A/zh
Application granted granted Critical
Publication of CN110933028B publication Critical patent/CN110933028B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施方式涉及通信技术领域,公开了一种报文传输方法,该报文传输方法包括:获取应用程序的应用指纹;对所述应用指纹进行验证,若验证成功,则获取所述应用程序发送的加密报文;对所述加密报文进行解密并检测;若检测通过,则将解密后的报文发送至应用程序平台;获取所述应用程序平台根据所述解密后的报文返回的结果报文;将所述结果报文加密后返回至所述应用程序。本发明实施方式还公开了一种报文传输装置、网络设备及存储介质。本发明实施方式提供的报文传输方法、装置、网络设备及存储介质,可以提高应用程序的安全防护的效率。

Description

报文传输方法、装置、网络设备及存储介质
技术领域
本发明涉及通信技术领域,特别涉及一种报文传输方法、装置、网络设备及存储介质。
背景技术
随着移动终端技术的发展,移动终端的应用程序(APP)越来越多,人们可以通过应用程序进行通讯、交通和购物等活动。与此同时,如若应用程序的安全防护做得不够,则很容易被破解和攻击,危害用户信息安全和应用程序平台的安全。
目前,对应用程序的防护大多是通过单一的防护手段,例如只对应用程序代码层进行防护,或者只在业务后台布置应用防火墙等,只能解决单一方面的安全问题,难以解决应用程序可能存在的一系列安全问题,安全防护的效率较低。
发明内容
本发明实施方式的目的在于提供一种报文传输方法、装置、网络设备及存储介质,使得安全防护的效率提高。
为解决上述技术问题,本发明的实施方式提供了一种报文传输方法,包含以下步骤:获取应用程序的应用指纹;对应用指纹进行验证,若验证成功,则获取应用程序发送的加密报文;对加密报文进行解密并检测;若检测通过,则将解密后的报文发送至应用程序平台;获取应用程序平台根据解密后的报文返回的结果报文;将结果报文加密后返回至应用程序。
本发明的实施方式还提供了一种报文传输装置,包含:指纹获取模块,用于获取应用程序的应用指纹;指纹验证模块,用于对应用指纹进行验证,若验证成功,则获取应用程序发送的加密报文;报文检测模块,用于对加密报文进行解密并检测;报文发送模块,用于当对加密报文检测通过时,将解密后的报文发送至应用程序平台;结果获取模块,用于获取应用程序平台根据解密后的报文返回的结果报文;结果返回模块,用于将结果报文加密后返回至应用程序。
本发明的实施方式还提供了一种网络设备,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述的报文传输方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述的报文传输方法。
本发明实施方式相对于现有技术而言,通过对应用程序的应用指纹进行验证,可以保证应用程序为合法的应用程序;在获取应用程序发送的加密报文后进行解密,由于受到攻击或伪造的报文会导致解密不成功,因此可以防止受到攻击或伪造的报文传输至应用程序平台,保证应用程序平台的安全;对解密后的报文进行检测,在检测通过的前提下再将报文发送至应用程序平台,可以进一步降低应用程序平台的风险;在获取应用程序平台返回的结果报文后,将结果报文加密后返回至应用程序,可以保证结果报文在返回给应用程序的过程中不会受到攻击,保证用户信息安全;通过有机组合地运用应用指纹校验、报文加密和报文检测等多重防护措施,有效地保证了应用程序平台和用户信息的安全,提高了安全防护的效率。
另外,对加密报文进行解密并检测,包括:解密加密报文,得到解密后的报文;判断解密后的报文是否符合第一预设条件,若符合,则向应用程序发送二次验证消息;获取应用程序根据二次验证消息发送的反馈信息,并对反馈信息进行校验;在对加密报文进行解密并检测之后,还包括:若校验不通过,则阻断解密后的报文。通过判断解密后的报文是否符合第一预设条件,若符合第一预设条件,表明解密后的报文可能存在风险行为,则进行二次验证;若二次验证的结果不通过,则阻断解密后的报文。如此一来,使可能存在风险行为的报文不会发送至应用程序平台,从而保证了应用程序平台的安全。
另外,对加密报文进行解密并检测,还包括:判断解密后的报文是否符合第二预设条件;在对加密报文进行解密并检测之后,还包括:若解密后的报文符合第二预设条件,则输出告警信息并记录解密后的报文。通过判断解密后的报文是否符合第二预设条件,从而判断解密后的报文是否存在入侵和攻击应用程序平台的行为;若符合第二预设条件,表示解密后的报文为存在入侵和攻击的行为特征的可疑报文,则输出告警信息并记录,使可疑报文能及时被发现和处理,保证应用程序平台的安全。
另外,在将结果报文加密后返回至应用程序之后,还包括:获取大数据平台记录的应用程序的采集日志;获取采集日志中预设过滤字段值的出现次数;若预设过滤字段值的出现次数大于次数阈值,则输出告警消息。通过获取大数据平台记录的应用程序的采集日志,根据采集日志中预设过滤字段值的出现次数进行判断,若大于次数阈值,表示可能存在安全风险,则输出告警消息使相关管理人员进行处理;由于对应用程序进行应用指纹校验、报文加密解密和检测等多重防护后,仍然存在风险行为的可能性,因此通过大数据平台记录的应用程序的采集日志的分析,可以进一步挖掘是否存在安全漏洞,从而作针对性地处理,进一步提高应用程序平台和用户信息的安全性。
另外,获取应用程序的应用指纹,包括:获取在预设虚拟机中运行的应用程序的应用指纹。通过在重新构建的预设虚拟机中运行应用程序,可以使攻击者难于获取应用程序的核心代码,实现对应用程序的加固。
另外,应用程序为从应用市场下载的已加固应用程序;在获取应用程序的应用指纹之前,还包括:采用加密算法加密待加固应用程序,得到已加固应用程序并生成应用程序的备份应用指纹;将已加固应用程序发布至应用市场;对应用指纹进行验证,包括:将应用指纹与备份应用指纹进行匹配。通过加密算法对应用程序进行加固,可以加大攻击者获取应用程序核心代码的难度,保证应用程序的安全;同时生成应用程序的备份应用指纹,在验证时将应用程序的应用指纹与备份应用指纹进行匹配,即可以判断应用程序的合法性,保证应用程序平台和用户信息的安全。
另外,采用加密算法加密待加固应用程序,包括:采用加密算法加密待加固应用程序的DEX文件和SO库文件。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定。
图1是本发明第一实施方式提供的报文传输方法的流程示意图;
图2是本发明第一实施方式提供的报文传输方法中S103的细化步骤及后续步骤的流程示意图;
图3是本发明第一实施方式提供的报文传输方法中S103的另一种细化步骤及后续步骤的流程示意图;
图4是本发明第一实施方式提供的报文传输方法中S106的后续步骤的流程示意图;
图5是本发明第二实施方式提供的报文传输装置的模块结构示意图;
图6是本发明第三实施方式提供的网络设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的第一实施方式涉及一种报文传输方法,通过获取应用程序的应用指纹,对应用指纹进行验证,若验证成功,则获取应用程序发送的加密报文;对发送的加密报文进行解密并检测,若检测通过,则将解密后的报文发送至应用程序平台;获取应用程序平台根据解密后的报文返回的结果报文;将结果报文加密后返回至应用程序。通过应用指纹校验,可以判断应用程序是否为合法的应用程序;若通过应用指纹校验,则获取应用程序发送的加密报文并进行解密和检测,判断应用程序发送的报文是否受到非法攻击,保证发送的报文是否为合法的报文,并检测解密后的报文是否存在安全风险;若通过检测,再将解密后的报文发送至应用程序平台,由于是在确保应用程序发送的报文是合法的前提下再发给应用程序平台,因此可以避免应用程序平台受到非法攻击,保护应用程序平台的安全;最后将应用程序平台返回的结果报文加密后再传输至应用程序,可以避免应用程序接到的结果报文受到攻击,保证应用程序所在的终端的用户信息的安全。
应当说明的是,本发明实施方式的执行主体为服务器,其中服务器可以为用于安全管理的服务器,例如为云安全网关,也可以其它类型的服务器,这里不做具体限制,以下以服务器为例进行说明。
本发明实施方式提供的报文传输方法的具体流程如图1所示,具体包括以下步骤:
S101:获取应用程序的应用指纹。
其中,应用程序的应用指纹是指应用程序的唯一性标识,用于区分不同的应用程序。
可选地,应用程序是指移动终端的应用程序(Application)。
具体地,当应用程序建立与服务器的连接后,服务器可根据该连接获取到应用程序的应用指纹。
在一个例子中,获取应用程序的应用指纹具体可以为:获取在预设虚拟机中运行的应用程序的应用指纹。
其中,预设虚拟机可以通过在应用程序中加入虚拟函数来实现,具体是运用虚拟指令级(VMP)的虚机加固技术,使应用程序被执行时在重新构建的虚拟环境中运行,避免终端原生系统的开放性导致的代码攻击。由于原来的应用程序在执行时,是通过原生系统提供的虚拟机中运行的,如安卓系统提供的虚拟机,这些虚拟机是开源的,攻击者容易通过获取到虚拟中运行的内容来获取到应用程序的核心代码,从而危害应用程序的安全;因此通过在重新构建的预设虚拟机中运行应用程序,可以使攻击者难于获取应用程序的核心代码,实现对应用程序的加固。另外,可以将应用程序中的方法调用转化为native,即中间的二进制文件,再放在预设虚拟机中运行,可以进一步加大攻击者获取应用程序的核心代码的难度,达到保证应用程序平台和用户信息安全的目的。
S102:对应用指纹进行验证,若验证成功,则获取应用程序发送的加密报文。
可选地,服务器的数据库预先存储有各种应用程序的应用指纹。当对移动终端的应用程序的应用指纹进行验证时,服务器将获取的应用指纹与数据库中预先存储的应用指纹进行匹配。若匹配成功,表示验证成功,应用程序为合法的应用程序,则获取应用程序发送的加密报文;若匹配失败,表示验证失败,应用程序为非法的应用程序。可选地,若验证失败,则服务器阻断与应用程序的连接。其中,服务器中预先存储的应用指纹可以由应用程序的开发者上传。可选地,为了保证服务器中存储的应用指纹为合法的,可以开发者上传时进行安全校验,例如进行信息安全证书的校验,若校验成功再存储应用程序的应用指纹。
可选地,应用程序发送的加密报文可以由应用程序安装的软件开发工具包(Software Development Kit,简称SDK)来实现,即在应用程序启动时,SDK也被启动,在应用程序发送报文时,SDK将发送的报文进行加密。为了使服务器可以对加密报文进行解密,可选地,可以由SDK将加密的密钥发送给服务器,也可以是SDK用来加密报文的密钥是与服务器约定好的。
可选地,对应用程序发送的报文进行加密用的加密算法可以为对称加密算法,例如AES加密算法,也可以为非对称加密算法,例如RSA算法,可以根据实际需要进行设置,这里不做具体限制。
S103:对加密报文进行解密并检测。
具体地,服务器采用预设的密钥对加密报文进行解密,若解密成功,则表示加密报文为合法的报文;若解密不成功,则表示加密报文可能为受到攻击的报文,也可能为伪造的报文,即加密报文为非法报文。可选地,若解密不成功,则服务器阻断与应用程序的连接。
服务器在对加密报文进行解密后,得到解密后的报文,再对解密后的报文进行检测。可选地,服务器可以对解密后的报文进行扫号、撞库、垃圾注册、刷单、账号盗用或薅羊毛等方面的检测,其中,进行不同方面的检测时,可以根据不同检测对象的特征来采用不同的检测方式,具体可以根据实际需要进行设置,这里不做具体限制。
S104:若检测通过,则将解密后的报文发送至应用程序平台。
其中,应用程序平台是指应用程序的后台服务器。
具体地,若服务器对解密后的报文的检测通过,则将解密后的报文发送至应用程序平台,实现应用程序与应用程序平台的通信。可选地,若服务器对解密后的报文的检测不通过,则阻断解密后的报文。
S105:获取应用程序平台根据解密后的报文返回的结果报文。
具体地,服务器将解密后的报文发送给应用程序平台后,应用程序平台根据解密后的报文对应的请求获取相应的结果,形成结果报文返回至服务器,服务器即可获取到结果报文。
S106:将结果报文加密后返回至应用程序。
可选地,服务器对结果报文的加密算法可以与应用程序发送的加密报文的加密算法相同,也可以不同,这里不做具体限制。
具体地,服务器从应用程序平台获取到结果报文后,采用预先设置的加密算法对结果报文进行加密,再将加密后的结果报文返回至应用程序。可选地,在应用程序接收到加密后的结果报文之后,采用约定好的密钥对加密后的结果报文进行解密后显示。应当说明的是,解密加密后的结果报文也可以通过在应用程序加入相应的SDK来实现。
可以理解的是,当服务器对应用程序的应用指纹校验成功后,服务器将应用程序与服务器交互的报文都进行加密,相当于与应用程序建立起一个安全通道,保证应用程序的信息安全。
与现有技术相比,本发明实施方式提供的报文传输方法,通过对应用程序的应用指纹进行验证,可以保证应用程序为合法的应用程序;在获取应用程序发送的加密报文后进行解密,由于受到攻击或伪造的报文会导致解密不成功,因此可以防止受到攻击或伪造的报文传输至应用程序平台,保证应用程序平台的安全;且对解密后的报文进行检测,在检测通过的前提下再将报文发送至应用程序平台,可以进一步降低应用程序平台的风险;在获取应用程序平台返回的结果报文后,将结果报文加密后返回至应用程序,可以保证结果报文在返回给应用程序的过程中不会受到攻击,保证用户信息安全;通过有机组合地运用应用指纹校验、报文加密和报文检测等多重防护措施,有效地保证了用户信息安全和应用程序平台的安全,提高了安全防护的效率。
在一个具体的例子中,如图2所示,在S103中,即对加密报文进行解密并检测,具体可以包括以下步骤:
S201:解密加密报文,得到解密后的报文。
S202:判断解密后的报文是否符合第一预设条件,若符合,则向应用程序发送二次验证消息。
S203:获取应用程序根据二次验证消息发送的反馈信息,并对反馈信息进行校验。
S204:若校验不通过,则阻断解密后的报文。
S201中,服务器采用预设的密钥对加密报文进行解密,若解密不成功,表明加密报文为非法的报文,则服务器断开与应用程序的连接或向应用程序发送提示消息;若解密成功,表明加密报文为合法报文,则服务器得到解密后的报文。
S202中,第一预设条件是指根据风险行为的特征设置的条件,用于降低风险行为发生的概率。其中,风险行为可以包括扫号、撞库、垃圾注册、刷单、账号盗用、薅羊毛等行为。具体地,服务器将解密后的报文与第一预设条件进行匹配,若解密后的报文符合第一预设条件,则表明解密后的报文可能存在上述的风险行为,服务器则向应用程序发送二次验证消息。其中,二次验证可以是手机验证、邮箱验证或密保问题验证等验证方式,例如向移动终端发送验证码,具体可以根据实际需要进行设置,这里不做限制。
S203和S204中,服务器向应用程序发送二次验证消息之后,获取应用程序根据二次验证消息发送的反馈信息,再对反馈信息进行校验;若反馈信息的校验不通过,则服务器阻断解密后的报文。可选地,若反馈信息的校验通过,表明存在风险行为的概率较低,则服务器将解密后的报文发送至应用程序平台,也可以是再进行其它方面的安全检测,进一步保证发送至应用程序平台的报文是安全的。
通过判断解密后的报文是否符合第一预设条件,若符合第一预设条件,表明解密后的报文可能存在风险行为,则进行二次验证;若二次验证的结果不通过,则阻断解密后的报文,使可能存在风险行为的报文不会发送至应用程序平台,从而保证了应用程序平台和用户信息的安全。
在一个具体的例子中,如图3所示,在S103中,即对加密报文进行解密并检测,还可以包括以下步骤:
S301:解密加密报文,得到解密后的报文。
S302:判断解密后的报文是否符合第二预设条件。
S303:若解密后的报文符合第二预设条件,则输出告警信息并记录解密后的报文。
其中,S301与上述S201相同,这里不再赘述。
S302中,第二预设条件是指根据对应用程序平台入侵或攻击行为的行为特征设置的条件,用于检测应用程序平台是否受到入侵或攻击。
S303中,服务器根据第二预设条件对解密后的报文进行判断,若解密后的报文符合第二预设条件,表示解密后的报文存在入侵或攻击行为的行为特征,则服务器将解密后的报文作为可疑报文进行记录,并输出告警消息至管理终端,使相应的管理人员了解告警消息并进行相应的处理,以保证应用程序平台的安全。
通过判断解密后的报文是否符合第二预设条件,从而判断解密后的报文是否存在入侵和攻击应用程序平台的行为;若符合第二预设条件,表示解密后的报文为存在入侵和攻击的行为特征的可疑报文,输出告警信息并记录,使可疑报文能及时被发现和处理,保证应用程序平台的安全。
在一个具体的例子中,如图4所示,在S106之后,即在将结果报文加密后返回至应用程序之后,还包括以下步骤:
S401:获取大数据平台记录的应用程序的采集日志。
S402:获取采集日志中预设过滤字段值的出现次数。
S403:若预设过滤字段值的出现次数大于次数阈值,则输出告警消息。
S402中,预设过滤字段值是指可能存在风险需要进行过滤的字段值。
具体地,服务器从大数据平台中获取应用程序的采集日志,并统计采集日志中预设过滤字段值的出现次数,若预设过滤字段值的出现次数大于次数阈值,则输出告警消息。可选地,服务器将告警消息输出至管理终端,使相应的管理人员获知告警消息并进行处理。其中,次数阈值可以根据实际情况进行设置,可以针对不同的过滤字段值设置不同的次数阈值,这里不做具体限制。
可选地,也可以是大数据平台对采集日志进行分析,分析采集日志中预设过滤字段值的出现次数,服务器再从大数据平台中获取应用程序预设过滤字段值的出现次数,与次数阈值进行比较,若大于次数阈值,则输出告警消息。
可选地,还可以通过构建flume+kafka+storm的日志分析系统对应用程序的日志进行分析,分析应用程序的日志中预设过滤字段值的出现次数。其中,flume是Cloudera提供的一个分布式、可靠、和高可用的海量日志采集、聚合和传输的日志收集系统,支持在日志系统中定制各类数据发送方,用于收集数据;Kafka是一个消息中间件;Storm是一个分布式的、高容错的实时计算系统,通过组合使用flume、kafka和storm,可以实现对应用程序的日志采集及分析。
通过获取大数据平台记录的应用程序的采集日志,根据采集日志中预设过滤字段值的出现次数进行判断,若大于次数阈值,表示可能存在安全风险,则输出告警消息使相关管理人员进行处理;由于对应用程序进行应用指纹校验、报文加密解密和检测等多重防护后,仍然存在风险行为的可能性,因此通过大数据平台记录的应用程序的采集日志的分析,可以进一步挖掘是否存在安全漏洞,从而作针对性地处理,进一步提高应用程序平台和用户信息的安全性。
在一个具体的例子中,应用程序为从应用市场下载的已加固程序;在S101之前,即在获取应用程序的应用指纹之前,还包括:采用加密算法加密待加固应用程序,得到已加固应用程序并生成应用程序的备份应用指纹,将已加固应用程序发布至应用市场;S102中,对应用指纹进行验证,包括:将应用指纹与备份应用指纹进行匹配。
其中,加密算法可以为对称或非对称加密算法,例如DES、AES或RSA等,这里不做具体限制。可选地,采用加密算法加密待加固应用程序是指采用加密算法加密待加固应用程序的DEX文件和SO库文件。
具体地,开发者可以将应用程序上传至服务器,服务器对开发者进行安全校验后,将开发者上传的应用程序作为待加固应用程序;采用预先设置的加密算法对待加固应用程序进行加密,得到已加固应用程序,并生成应用程序的应用指纹作为备份应用指纹;再将已加固应用程序发布至应用市场,使用户可以从应用市场中下载已加固应用程序。当应用程序在进行应用指纹验证时,服务器将应用程序的应用指纹与备份应用指纹进行匹配,从而验证应用程序的合法性。
可选地,也可以通过加固网站来实现对应用程序的加固和生成应用指纹,服务器再从加固网站中获取生成的应用指纹作为备份应用指纹。
通过加密算法对应用程序进行加固,可以加大攻击者获取应用程序核心代码的难度,保证应用程序的安全;同时生成应用程序的备份应用指纹,在验证时将应用程序的应用指纹与备份应用指纹进行匹配,即可以判断应用程序的合法性,保证应用程序平台的安全。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包含相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明第二实施方式涉及一种报文传输装置,如图5所示,包含:指纹获取模块501、指纹验证模块502、报文检测模块503、报文发送模块504、结果获取模块505和结果返回模块506。
指纹获取模块501,用于获取应用程序的应用指纹;
指纹验证模块502,用于对应用指纹进行验证,若验证成功,则获取应用程序发送的加密报文;
报文检测模块503,用于对加密报文进行解密并检测;
报文发送模块504,用于当对加密报文检测通过时,将解密后的报文发送至应用程序平台;
结果获取模块505,用于获取应用程序平台根据解密后的报文返回的结果报文;
结果返回模块506,用于将结果报文加密后返回至应用程序。
进一步地,报文检测模块503还用于:
解密加密报文,得到解密后的报文;
判断解密后的报文是否符合第一预设条件,若符合,则向应用程序发送二次验证消息;
获取应用程序根据二次验证消息发送的反馈信息,并对反馈信息进行校验;
报文传输装置还包括报文阻断模块,其中,报文阻断模块用于:当反馈信息校验不通过时,阻断解密后的报文。
进一步地,报文检测模块503还用于:判断解密后的报文是否符合第二预设条件;报文传输装置还包括报文告警模块,其中,报文告警模块用于:当解密后的报文符合第二预设条件时,输出告警信息并记录解密后的报文。
进一步地,报文传输装置还包括日志分析模块,其中,日志分析模块用于:
获取大数据平台记录的应用程序的采集日志;
获取采集日志中预设过滤字段值的出现次数;
若预设过滤字段值的出现次数大于次数阈值,则输出告警消息。
进一步地,指纹获取模块501还用于:
获取在预设虚拟机中运行的应用程序的应用指纹。
进一步地,应用程序为从应用市场下载的已加固应用程序;报文传输装置还包括应用加固模块,其中,应用加固模块用于:
采用加密算法加密待加固应用程序,得到已加固应用程序并生成应用程序的备份应用指纹;
将已加固应用程序发布至应用市场;
指纹验证模块502还用于:将应用指纹与备份应用指纹进行匹配。
进一步地,应用加固模块还用于:采用加密算法加密待加固应用程序的DEX文件和SO库文件。
不难发现,本实施方式为与第一实施方式相对应的装置实施例,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第三实施方式涉及一种网络设备,如图6所示,包括至少一个处理器601;以及,与至少一个处理器601通信连接的存储器602;其中,存储器602存储有可被至少一个处理器601执行的指令,指令被至少一个处理器601执行,以使至少一个处理器601能够执行上述的报文传输方法。
其中,存储器602和处理器601采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器601和存储器602的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器601处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器601。
处理器601负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器602可以被用于存储处理器601在执行操作时所使用的数据。
本发明第四实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。

Claims (10)

1.一种报文传输方法,其特征在于,包括:
获取应用程序的应用指纹;
对所述应用指纹进行验证,若验证成功,则获取所述应用程序发送的加密报文;
对所述加密报文进行解密并检测;
若检测通过,则将解密后的报文发送至应用程序平台;
获取所述应用程序平台根据所述解密后的报文返回的结果报文;
将所述结果报文加密后返回至所述应用程序。
2.根据权利要求1所述的报文传输方法,其特征在于,所述对所述加密报文进行解密并检测,包括:
解密所述加密报文,得到解密后的报文;
判断所述解密后的报文是否符合第一预设条件,若符合,则向所述应用程序发送二次验证消息,其中,所述第一预设条件是指根据风险行为的特征设置的条件;
获取所述应用程序根据所述二次验证消息发送的反馈信息,并对所述反馈信息进行校验;
在所述对所述加密报文进行解密并检测之后,还包括:
若校验不通过,则阻断所述解密后的报文。
3.根据权利要求2所述的报文传输方法,其特征在于,所述对所述加密报文进行解密并检测,还包括:
判断所述解密后的报文是否符合第二预设条件,其中,所述第二预设条件是指根据对应用程序平台入侵或攻击行为的行为特征设置的条件;
在所述对所述加密报文进行解密并检测之后,还包括:
若所述解密后的报文符合所述第二预设条件,则输出告警信息并记录所述解密后的报文。
4.根据权利要求1所述的报文传输方法,其特征在于,在所述将所述结果报文加密后返回至所述应用程序之后,还包括:
获取大数据平台记录的所述应用程序的采集日志;
获取所述采集日志中预设过滤字段值的出现次数;
若所述预设过滤字段值的出现次数大于次数阈值,则输出告警消息。
5.根据权利要求1所述的报文传输方法,其特征在于,所述获取应用程序的应用指纹,包括:
获取在预设虚拟机中运行的应用程序的应用指纹。
6.根据权利要求1所述的报文传输方法,其特征在于,所述应用程序为从应用市场下载的已加固应用程序;
在所述获取应用程序的应用指纹之前,还包括:
采用加密算法加密待加固应用程序,得到所述已加固应用程序并生成应用程序的备份应用指纹;
将所述已加固应用程序发布至应用市场;
所述对所述应用指纹进行验证,包括:
将所述应用指纹与所述备份应用指纹进行匹配。
7.根据权利要求6所述的报文传输方法,其特征在于,所述采用加密算法加密待加固应用程序,包括:
采用加密算法加密待加固应用程序的DEX文件和SO库文件。
8.一种报文传输装置,其特征在于,包括:
指纹获取模块,用于获取应用程序的应用指纹;
指纹验证模块,用于对所述应用指纹进行验证,若验证成功,则获取所述应用程序发送的加密报文;
报文检测模块,用于对所述加密报文进行解密并检测;
报文发送模块,用于当对所述加密报文检测通过时,将所述解密后的报文发送至应用程序平台;
结果获取模块,用于获取所述应用程序平台根据所述解密后的报文返回的结果报文;
结果返回模块,用于将所述结果报文加密后返回至所述应用程序。
9.一种网络设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一项所述的报文传输方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的报文传输方法。
CN201911016290.8A 2019-10-24 2019-10-24 报文传输方法、装置、网络设备及存储介质 Active CN110933028B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911016290.8A CN110933028B (zh) 2019-10-24 2019-10-24 报文传输方法、装置、网络设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911016290.8A CN110933028B (zh) 2019-10-24 2019-10-24 报文传输方法、装置、网络设备及存储介质

Publications (2)

Publication Number Publication Date
CN110933028A CN110933028A (zh) 2020-03-27
CN110933028B true CN110933028B (zh) 2022-04-15

Family

ID=69849359

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911016290.8A Active CN110933028B (zh) 2019-10-24 2019-10-24 报文传输方法、装置、网络设备及存储介质

Country Status (1)

Country Link
CN (1) CN110933028B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165494B (zh) * 2020-09-30 2023-04-28 厦门亿联网络技术股份有限公司 报文分析方法、装置、电子设备及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101150390B (zh) * 2006-09-22 2013-05-08 周卫 基于信任检测的应用指纹通信方法及系统
CN107046495B (zh) * 2016-02-06 2020-08-18 阿里巴巴集团控股有限公司 用于构建虚拟专用网络的方法、装置和系统
US10366229B2 (en) * 2016-06-20 2019-07-30 Jask Labs Inc. Method for detecting a cyber attack
CN107704359B (zh) * 2017-09-04 2021-03-16 北京天平检验行有限公司 一种大数据平台的监控系统
CN109495423A (zh) * 2017-09-11 2019-03-19 网宿科技股份有限公司 一种防止网络攻击的方法及系统
CN109492421A (zh) * 2017-09-11 2019-03-19 厦门雅迅网络股份有限公司 基于Android系统的安全中间件的数据处理方法、电子设备和存储介质
CN107483500A (zh) * 2017-09-25 2017-12-15 咪咕文化科技有限公司 一种基于用户行为的风险识别方法、装置及存储介质
CN107977553B (zh) * 2017-12-25 2020-07-10 中国电子产品可靠性与环境试验研究所 移动应用程序的安全加固的方法及装置
CN109960903A (zh) * 2017-12-26 2019-07-02 中移(杭州)信息技术有限公司 一种应用加固的方法、装置、电子设备及存储介质
CN109450931A (zh) * 2018-12-14 2019-03-08 北京知道创宇信息技术有限公司 一种安全上网方法、装置及即插即用设备

Also Published As

Publication number Publication date
CN110933028A (zh) 2020-03-27

Similar Documents

Publication Publication Date Title
CN108737430B (zh) 区块链节点的加密通信方法和系统
JP6188785B2 (ja) デコイ暗号鍵を使用したネットワーク侵入検知
US20170208049A1 (en) Key agreement method and device for verification information
WO2021063068A1 (zh) 运维管控、运维分析方法、装置、系统及存储介质
CN109194625B (zh) 一种基于云端服务器的客户端应用保护方法、装置及存储介质
CN106302328B (zh) 敏感用户数据处理系统和方法
US8949995B2 (en) Certifying server side web applications against security vulnerabilities
CN104243419B (zh) 基于安全外壳协议的数据处理方法、装置及系统
CN108243176B (zh) 数据传输方法和装置
CN113099443A (zh) 设备认证方法、装置、设备和系统
CN112019566B (zh) 数据的传输方法、服务器、客户端及计算机存储介质
CN105491062A (zh) 一种客户端软件保护方法、装置及客户端
CN109729000B (zh) 一种即时通信方法及装置
CN114637987A (zh) 基于平台验证的安全芯片固件下载方法及系统
CN114760056B (zh) 动态更新密钥的安全通信方法及装置
CN111585995B (zh) 安全风控信息传输、处理方法、装置、计算机设备及存储介质
CN109302442B (zh) 一种数据存储证明方法及相关设备
CN110933028B (zh) 报文传输方法、装置、网络设备及存储介质
CN105812338B (zh) 一种数据访问管控方法及网络管理设备
CN112383577A (zh) 授权方法、装置、系统、设备和存储介质
CN112769789A (zh) 一种加密通信方法及系统
CN106878233B (zh) 安全数据的读取方法、安全服务器、终端及系统
CN105100030B (zh) 访问控制方法、系统和装置
CN111132149A (zh) 5g用户终端的注册方法、用户终端设备及介质
CN108574657B (zh) 接入服务器的方法、装置、系统以及计算设备和服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant